* 출처는 안랩입니다.

안랩 분석팀은 최근 대형 운송사의 운송장으로 위장한 렘코스(Remcos) RAT 악성코드를 발견했다. 공격자는 사회공학적 기법을 활용해 사용자가 의심 없이 악성 파일을 실행하도록 유도했다. 이번 사례에서 렘코스 RAT은 HTML, JavaScript, Autoit script 등을 거쳐 최종적으로 악성코드를 실행하는 방식으로 유포됐다. 해당 악성코드의 유포 흐름과 주요 특징을 살펴보자.

[그림 1]은 악성 메일의 원본으로, 내부에 HTML 스크립트가 첨부돼 있다. 사용자가 해당 HTML 파일을 실행한 후 Download 버튼을 클릭하면 [그림 2]와 같이 “747031500 D747031500_A.js” 파일이 다운로드된다. 하지만 이 파일의 다운로드 URL은 “blob” 형태로, 일반적인 외부 서버에서 직접 파일을 내려받는 방식이 아니다.

[그림 1] 유포 메일 원본

[그림 2] 첨부된 HTML 스크립트 본문

[그림 3]은 HTML 스크립트의 코드로 인코딩된 악성 자바스크립트를 오브젝트로 변환해 브라우저 내에서만 접근할 수 있는 URL을 생성하고, 이를 통해 “747031500 D747031500_A.js” 파일을 생성하는 방식을 보여준다.

[그림 3] 첨부된 HTML 스크립트 코드

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35812